50 лучших вопросов и ответов на собеседовании по VMware NSX

Давайте рассмотрим несколько вопросов для собеседований с VMware NSX, которые помогут соискателям и профессионалам, которые хотят пройти сертификацию по виртуализации сети.

VMware приобрела NSX у Nicira в июле 2012 года, который в основном использовался для виртуализации сети в гипервизоре на основе Xen. NSX абстрагирует физический уровень (виртуализирует сеть), чтобы программное обеспечение работало поверх гипервизора, который динамически настраивается и обновляется. В настоящее время NSX имеет две версии: NSX-T (предназначена для работы с несколькими гипервизорами и облачных приложений) и NSX-V (предназначена только для сред vSphere).

NSX - это будущее современной ИТ-инфраструктуры, предлагающей широкие возможности для управления и защиты вашей виртуальной инфраструктуры. 82% из 100 компаний используют VMware NSX. Поскольку компании быстро переходят на VMware NSX, опытные сотрудники всегда пользуются большим спросом.

Для этого мы подготовили несколько вопросов для интервью с пояснительными ответами.

Эти вопросы на собеседовании подразделяются на следующие технические области:

• Базовые концепты
• Основные компоненты NSX
• Функциональные службы NSX
• Шлюз пограничных служб
• Компоновщик сервисов
• Мониторинг
• Управление NSX

Основные концепции NSX

№1. Что такое развязка?

Важной концепцией сетевой виртуализации является разделение программного обеспечения и сетевого оборудования. Программное обеспечение работает независимо от сетевого оборудования, которое физически соединяет инфраструктуру. Любое сетевое оборудование, которое может взаимодействовать с программным обеспечением, всегда расширяет функциональность, но в этом нет необходимости. Помните, что производительность сетевого оборудования всегда ограничивает пропускную способность сети.

№2. Что такое плоскость управления?

Разделение программного обеспечения и сетевого оборудования позволяет лучше контролировать вашу сеть, поскольку вся логика находится в программном обеспечении. Этот аспект управления вашей сети называется плоскостью управления. Плоскость управления предоставляет средства для настройки, мониторинга, устранения неполадок и обеспечения автоматизации в сети.

№3. Что такое плоскость данных?

Сетевое оборудование формирует плоскость данных, где все данные пересылаются от источника к месту назначения. Управление данными находится на уровне управления; однако плоскость данных состоит из всего сетевого оборудования, основная функция которого - пересылка трафика по сети от источника к месту назначения.

№4. Что такое плоскость управления?

Уровень управления в основном состоит из диспетчера NSX. Диспетчер NSX - это централизованный компонент управления сетью, который в первую очередь позволяет использовать единую точку управления. Он также предоставляет REST API, который пользователь может использовать для выполнения всех функций и действий NSX. На этапе развертывания уровень управления устанавливается при развертывании и настройке устройства NSX. Эта плоскость управления напрямую взаимодействует с плоскостью управления, а также с плоскостью данных.

№5 . Что такое логическое переключение?

NSX позволяет создавать логическую коммутацию L2 и L3, которая обеспечивает изоляцию рабочей нагрузки и разделение пространства IP-адресов между логическими сетями. NSX может создавать логические широковещательные домены в виртуальном пространстве, что избавляет от необходимости создавать какие-либо логические сети на физических коммутаторах. Это означает, что вы больше не ограничены 4096 физическими широковещательными доменами (VLAN).

№6. Что такое службы шлюза NSX?

Службы пограничного шлюза соединяют ваши логические сети с вашими физическими сетями. Это означает, что виртуальная машина, подключенная к логической сети, может отправлять и получать трафик непосредственно в вашу физическую сеть через шлюз.

№7. Что такое логическая маршрутизация?

С помощью NSX можно создать несколько виртуальных широковещательных доменов (логических сетей). Поскольку несколько виртуальных машин подписываются на эти домены, становится критически важным иметь возможность маршрутизировать трафик от одного логического коммутатора к другому.

№8. Что такое трафик с востока на запад в логической маршрутизации?

Трафик с востока на запад - это трафик между виртуальными машинами в центре обработки данных. В текущем контексте это обычно будет трафик между логическими коммутаторами в среде VMware.

№9. Что такое движение Север-Юг?

Трафик с севера на юг - это трафик, входящий и исходящий из вашего центра обработки данных. Это любой трафик, который либо входит в ваш центр обработки данных, либо покидает ваш центр обработки данных.

№10 . Что такое логический брандмауэр?

Логические межсетевые экраны бывают двух типов: распределенный межсетевой экран и пограничный межсетевой экран. Распределенный межсетевой экран идеально подходит для защиты любого трафика с востока на запад, а пограничный межсетевой экран защищает любой трафик с севера на юг. Распределенный логический брандмауэр позволяет создавать правила на основе атрибутов, которые включают IP-адреса, VLAN, имена виртуальных машин и объекты vCenter. Шлюз Edge имеет службу межсетевого экрана, которая может использоваться для наложения ограничений безопасности и доступа для трафика с севера на юг.

№11. Что такое балансировщик нагрузки?

Логический балансировщик нагрузки распределяет входящие запросы между несколькими серверами, чтобы обеспечить распределение нагрузки, абстрагируя эту функциональность от конечных пользователей. Логический балансировщик нагрузки также можно использовать в качестве механизма высокой доступности ( HA ), чтобы обеспечить максимальное время безотказной работы вашего приложения. Экземпляр шлюза пограничных служб должен быть развернут, чтобы включить службу балансировки нагрузки.

№12. Что такое Service Composer?

Компоновщик служб позволяет распределять сеть и несколько служб безопасности по группам безопасности. Виртуальным машинам, входящим в эти группы безопасности, автоматически назначаются службы.

№13. Что такое безопасность данных?

Безопасность данных NSX обеспечивает видимость конфиденциальных данных, гарантирует защиту данных и сообщает о любых нарушениях нормативных требований. Сканирование безопасности данных на назначенных виртуальных машинах позволяет NSX анализировать и сообщать о любых нарушениях на основе политики безопасности, которая применяется к этим виртуальным машинам.

№14. Конфигурация максимум NSX 6.2

Основные компоненты NSX

№15. Определить NSX Manager?

Менеджер NSX позволяет нам создавать, настраивать и управлять компонентами NSX в среде. Менеджер NSX предоставляет графический пользовательский интерфейс и REST API, которые позволяют вам взаимодействовать с различными компонентами NSX. NSX Manager - это виртуальная машина, которую вы можете загрузить как OVA и развернуть на любом хосте ESX, управляемом vCenter.

№16 . Определить кластер контроллеров NSX?

Контроллер NSX предоставляет функциональные возможности уровня управления для распределения логической маршрутизации и информации о сети VXLAN в нижележащий гипервизор. Контроллеры развертываются как виртуальные устройства и должны быть развернуты в том же диспетчере vCenter NSX, к которому подключен. В производственной среде рекомендуется развернуть минимум три контроллера. Нам необходимо убедиться, что правила ant-affinity DRS настроены для развертывания контроллеров на отдельном хосте ESXi для повышения доступности и масштабируемости.

№17. Что такое VXLAN?

VXLAN - это протокол туннелирования уровня 2 поверх уровня 3, который позволяет логическим сегментам сети расширяться в маршрутизируемых сетях. Это достигается путем инкапсуляции кадра Ethernet с дополнительными заголовками UPD, IP и VXLAN. Следовательно, это увеличивает размер пакета на 50 байт. Следовательно, VMware рекомендует увеличить размер MTU как минимум до 1600 байтов для всех интерфейсов в физической инфраструктуре и любых связанных vSwitches.

№18. Что такое VTEP?

Когда виртуальная машина генерирует трафик, предназначенный для другой виртуальной машины в той же виртуальной сети, узлы, на которых работают исходная и конечная виртуальные машины, называются конечными точками туннеля VXLAN ( VTEP ). VTEP настроены как отдельные интерфейсы VMKernel на хостах.

Блок внешнего IP-заголовка в кадре VXLAN содержит исходный и целевой IP-адреса, которые содержат исходный гипервизор и целевой гипервизор. Когда пакет покидает исходную виртуальную машину, он инкапсулируется в исходном гипервизоре и отправляется на целевой гипервизор. Получив этот пакет, целевой гипервизор декапсулирует кадр Ethernet и пересылает его на целевую виртуальную машину.

После того, как NSX Manager подготовит хост ESXi, нам нужно настроить VTEP. NSX поддерживает несколько виртуальных машин VXLAN на каждом хосте для функций балансировки нагрузки восходящего канала. В дополнение к этому также поддерживается тегирование гостевой VLAN.

№19. Опишите транспортную зону?

Транспортная зона определяет расширение логического коммутатора по нескольким кластерам ESXi, которые охватывают несколько виртуальных распределенных коммутаторов. Транспортная зона позволяет логическому коммутатору распространяться на несколько виртуальных распределенных коммутаторов. Любые хосты ESXi, входящие в эту транспортную зону, могут иметь виртуальные машины как часть этой логической сети. Логический коммутатор всегда создается как часть транспортной зоны, и хосты ESXi могут участвовать в них.

№20. Что такое универсальная транспортная зона?

Универсальная транспортная зона позволяет логическому коммутатору охватывать несколько хостов в нескольких виртуальных центрах. Универсальная транспортная зона всегда создается первичным сервером NSX и синхронизируется с вторичными менеджерами NSX.

№21 . Что такое шлюз NSX Edge Services?

Шлюз пограничных служб NSX ( ESG ) предлагает многофункциональный набор услуг, который включает NAT, маршрутизацию, межсетевой экран, балансировку нагрузки, L2 / L3 VPN и ретранслятор DHCP / DNS. NSX API позволяет развертывать, настраивать и использовать каждую из этих служб по запросу. Вы можете установить NSX Edge как ESG или как DLR.

Количество пограничных устройств, включая ESG и DLR, ограничено 250 на хосте. Шлюз пограничных служб развертывается как виртуальная машина из диспетчера NSX, доступ к которому осуществляется с помощью веб-клиента vSphere.

Примечание. Развернуть шлюз пограничных служб может только роль администратора предприятия, которая позволяет управлять операциями NSX и безопасностью:

№22. Описать распределенный межсетевой экран в NSX?

NSX предоставляет услуги межсетевого экрана L2-L4 с отслеживанием состояния, используя распределенный межсетевой экран, работающий в ядре гипервизора ESXi. Поскольку брандмауэр является функцией ядра ESXi, он предлагает огромную пропускную способность и работает со скоростью, близкой к линейной. Когда NSX первоначально подготавливает хост ESXi, распределенная служба межсетевого экрана устанавливается в ядре путем развертывания ядра VIB - платформы вставки межсетевых служб VMware ( VSIP ). VSIP отвечает за мониторинг и обеспечение соблюдения политик безопасности для всего трафика, проходящего через плоскость данных. Пропускная способность и производительность распределенного межсетевого экрана ( DFW ) масштабируются по горизонтали по мере добавления дополнительных хостов ESXi.

№23. Что такое Cross-vCenter NSX?

Начиная с NSX 6.2, вы можете управлять несколькими средами vCenter NSX с помощью функции cross-vCenter. Это позволяет управлять несколькими средами vCenter NSX из одного основного диспетчера NSX. При развертывании между несколькими vCenter все несколько vCenters связаны с собственным NSX Manager для каждого vCenter. Один менеджер NSX назначается основным, а другие менеджеры NSX становятся второстепенными. Этот основной диспетчер NSX теперь может развернуть универсальный кластер контроллеров, который обеспечивает плоскость управления. В отличие от автономного развертывания vCenter-NSX, вторичные менеджеры NSX не развертывают свои собственные кластеры контроллеров.

# 24. Что такое VPN?

Виртуальные частные сети ( VPN ) позволяют безопасно подключать удаленное устройство или сайт к корпоративной инфраструктуре. NSX Edge поддерживает три типа VPN-подключения. SSL VPN-Plus, IP-SEC VPN и L2 VPN.

№25. Что такое SSL VPN-Plus?

SSL VPN-Plus позволяет удаленным пользователям безопасно получать доступ к приложениям и серверам в частной сети. Существует два режима, в которых можно настроить SSL VPN-Plus: режим доступа к сети и режим доступа к сети. В режиме доступа к сети удаленный пользователь может безопасно получить доступ к внутренней частной сети. Это выполняется клиентом VPN, который удаленный пользователь загружает и устанавливает в своей операционной системе. В режиме веб-доступа удаленный пользователь может получить доступ к частным сетям без какого-либо клиентского программного обеспечения VPN.

№26. Что такое IPSec VPN?

Сервисный шлюз NSX Edge поддерживает межсайтовый IPSEC VPN, который позволяет подключать сеть, поддерживаемую шлюзом сервисов NSX Edge, к другому устройству на удаленном сайте. NSX Edge может устанавливать безопасные туннели с удаленными сайтами, чтобы обеспечить безопасный поток трафика между сайтами. Количество туннелей, которые может установить пограничный шлюз, зависит от размера развернутого пограничного шлюза. Перед настройкой IPsec VPN убедитесь, что динамическая маршрутизация отключена на пограничном восходящем канале, чтобы разрешить определенные маршруты, определенные для любого трафика VPN.

Примечание. Самозаверяющие сертификаты нельзя использовать с IPSEC VPN.

№27. Что такое L2 VPN

L2 VPN позволяет растянуть несколько логических сетей на несколько сайтов. Сети могут быть как традиционными VLAN, так и VXLAN. В таком развертывании виртуальная машина может перемещаться между сайтами без изменения своего IP-адреса. L2 VPN развертывается как клиент и сервер, где конечный Edge является сервером, а исходный Edge - клиентом . И клиент, и сервер изучают MAC-адреса как локальных, так и удаленных сайтов. Для любых сайтов, которые не поддерживаются средой NSX, можно развернуть автономный шлюз NSX Edge.

Функциональные службы NSX

№28. Сколько менеджеров NSX можно установить и настроить в среде NSX с несколькими vCenter?

Может быть только один основной менеджер NSX и до семи дополнительных менеджеров NSX. Вы можете выбрать один основной менеджер NSX, после чего вы сможете приступить к созданию универсальных объектов, а также к развертыванию кластеров универсальных контроллеров. Универсальный кластер контроллеров будет обеспечивать плоскость управления для среды NSX, объединенной с vCenter. Помните, что в среде с несколькими vCenter вторичные менеджеры NSX не имеют собственных кластеров контроллеров.

№29. Что такое пул идентификаторов сегментов и как его назначить?

Каждый туннель VXLAN имеет идентификатор сегмента (VNI), и вы должны указать пул идентификаторов сегментов для каждого NSX Manager. Весь трафик будет привязан к его идентификатору сегмента, что позволит изолировать его.

№30. Что такое мост L2?

Логический коммутатор может быть подключен к VLAN физического коммутатора с помощью моста L2. Это позволяет расширять виртуальные логические сети для доступа к существующим физическим сетям путем соединения логической VXLAN с физической VLAN. Этот мост L2 выполняется с помощью логического маршрутизатора NSX Edge, который сопоставляется с одной физической VLAN в физической сети.

Однако мосты L2 не следует использовать для соединения двух разных физических сетей VLAN или двух разных логических коммутаторов. Вы также не можете использовать универсальный логический маршрутизатор для настройки моста, и мост нельзя добавить к универсальному логическому коммутатору. Это означает, что в среде с несколькими vCenter NSX вы не можете расширить логический коммутатор до физической VLAN в другом центре обработки данных через мост L2.

Шлюз пограничных служб

№31. Что такое многопутевая маршрутизация с равной стоимостью (ECMP)?

ECMP позволяет пересылать пакет следующего перехода в одно место назначения по нескольким лучшим путям, которые могут быть добавлены статически или динамически с использованием протоколов маршрутизации, таких как OSPF и BGP. Эти несколько путей добавляются как значения, разделенные запятыми, при определении статических маршрутов.

№32. Каковы диапазоны по умолчанию для прямого, статического, внешнего BGP и т. Д.?

Диапазон значений от 1 до 255, диапазоны по умолчанию: Connected (0), Static (1), External BGP (20), OSPF intra-area (30), OSPF inter-area (110), and Internal BGP (200). .

Примечание. Любое из вышеперечисленных значений будет введено в «Admin Distance» путем редактирования конфигурации шлюза по умолчанию в конфигурации маршрутизации.

№33. Что такое «сначала открытый кратчайший путь» (OSPF)?

OSPF - это протокол маршрутизации, который использует алгоритм маршрутизации на основе состояния канала и работает в рамках одной автономной системы.

№34. Что такое постепенный перезапуск в OSPF?

Graceful Restart обеспечивает непрерывную пересылку пакетов, даже если процесс OSPF перезапускается. Это помогает в маршрутизации пакетов без прерывания работы.

№35. Что такое Not-So-Stubby Area (NSSA) в OSPF?

NSSA предотвращает лавинную рассылку объявлений о состоянии канала внешней автономной системы, полагаясь на маршруты по умолчанию к внешним адресатам. NSSA обычно размещаются на границе домена маршрутизации OSPF.

№36. Что такое BGP?

BGP - это протокол внешнего шлюза, предназначенный для обмена маршрутной информацией между автономными системами ( AS ) в Интернете. BGP актуален для сетевых администраторов крупных организаций, которые подключаются к двум или более интернет-провайдерам и поставщикам интернет-услуг, которые подключаются к другим сетевым провайдерам. Если вы являетесь администратором небольшой корпоративной сети или конечным пользователем, вам, вероятно, не нужно знать о BGP.

№37. Что такое распространение маршрутов?

В среде, где используются несколько протоколов маршрутизации, перераспределение маршрутов обеспечивает совместное использование маршрутов между протоколами.

№38. Что такое балансировщик нагрузки уровня 4?

Балансировщик нагрузки уровня 4 принимает решения о маршрутизации на основе IP-адресов и портов TCP или UDP. Он имеет пакетное представление трафика, которым обмениваются клиент и сервер, и принимает решения пакет за пакетом. Соединение уровня 4 устанавливается между клиентом и сервером.

№39. Что такое балансировщик нагрузки уровня 7?

Балансировщик нагрузки уровня 7 принимает решения о маршрутизации на основе IP-адресов, портов TCP или UDP или другой информации, которую он может получить из протокола приложения (в основном HTTP). Балансировщик нагрузки уровня 7 действует как прокси и поддерживает два TCP-соединения: одно с клиентом и одно с сервером.

№40. Что такое профиль приложения при настройке балансировщика нагрузки?

Прежде чем мы создадим виртуальный сервер для сопоставления с пулом, мы должны определить профиль приложения, который определяет поведение определенного типа сетевого трафика. Когда трафик получен, виртуальный сервер обрабатывает трафик на основе значений, определенных в профиле. Это позволяет лучше контролировать управление сетевым трафиком:

№41. Что такое субинтерфейс?

Субинтерфейс или внутренний интерфейс - это логический интерфейс, который создается и отображается на физический интерфейс. Субинтерфейсы - это просто разделение физического интерфейса на несколько логических интерфейсов. Этот логический интерфейс использует родительский физический интерфейс для перемещения данных. Помните, что вы не можете использовать субинтерфейсы для высокой доступности, потому что контрольный сигнал должен проходить через физический порт от одного гипервизора к другому между устройствами Edge.

№42. Почему для вашей среды необходим Force Sync NSX Edge?

Принудительная синхронизация - это функция, которая синхронизирует конфигурацию Edge из NSX Manager со всеми его компонентами в среде. Действие синхронизации инициируется от NSX Manager до NSX Edge, которое обновляет и перезагружает конфигурацию Edge.

№43. Почему необходимо настроить удаленный сервер системного журнала в вашей виртуальной среде?

VMware рекомендует настраивать серверы системного журнала, чтобы избежать переполнения журналов на устройствах Edge. Когда ведение журнала включено, журналы хранятся локально на устройстве Edge и занимают место. Если не установить этот флажок, это может повлиять на производительность устройства Edge, а также может привести к остановке устройства Edge из-за нехватки места на диске.

Компоновщик сервисов

№44. Что такое политики безопасности?

Политики безопасности - это наборы правил, которые применяются к виртуальной машине, сети или службам межсетевого экрана. Политики безопасности - это многократно используемые наборы правил, которые можно применять к группам безопасности. Политики безопасности выражают три типа наборов правил:

• Endpoint Services : гостевые сервисы, такие как антивирусные решения и управление уязвимостями.
• Правила брандмауэра : политики распределенного брандмауэра
• Сервисы интроспекции сети : сетевые сервисы, такие как системы обнаружения вторжений и шифрование.

Эти правила применяются ко всем объектам и виртуальным машинам, которые являются частью группы безопасности, с которой связана эта политика.

Мониторинг

№44. Что такое мониторинг конечных точек в NSX?

Endpoint Monitor обеспечивает понимание и видимость приложений, работающих в операционной системе, чтобы гарантировать правильное применение политик безопасности. Для мониторинга конечных точек требуется установка гостевого самоанализа. На виртуальных машинах вам потребуется установить гостевой драйвер самоанализа, который является частью установки инструментов VMware.

№45. Что такое мониторинг потока?

Мониторинг потока NSX - это функция, которая позволяет детально отслеживать трафик на защищенные виртуальные машины и от них. Мониторинг потока может однозначно идентифицировать разные машины и службы, обменивающиеся данными, и, если он включен, может определять, какие машины обмениваются данными через определенные приложения. Мониторинг потока также позволяет отслеживать TCP и UDP-соединения в реальном времени и может использоваться как эффективный инструмент судебной экспертизы.

Примечание. Мониторинг потока можно включить только для развертываний NSX, в которых включен брандмауэр.

№46. Что такое Traceflow?

Traceflow - интересный инструмент, созданный для того, чтобы позволить администраторам беспрепятственно устранять неполадки в своей виртуальной сетевой среде, отслеживая поток пакетов аналогично устаревшему приложению Packet Tracer. Traceflow позволяет вводить пакет в сеть и отслеживать его поток по сети. Этот поток позволяет вам контролировать вашу сеть и выявлять такие проблемы, как узкие места или сбои.

Управление NSX

№48. Как работает сервер системного журнала в NSX?

Настройка NSX Manager с удаленным сервером системного журнала позволяет собирать, просматривать и сохранять все файлы журналов в центральном месте. Это позволяет хранить журналы для соответствия требованиям; при использовании такого инструмента, как VMware vRealize Log insight, вы можете создавать предупреждения и использовать встроенную поисковую систему для просмотра журналов.

№49. Как работают резервное копирование и восстановление в NSX?

Резервные копии критически важны для среды NSX, которая позволяет восстанавливать их надлежащим образом во время сбоя системы. Помимо vCenter, вы также можете выполнять операции резервного копирования в NSX Manager, кластерах контроллеров, NSX Edge, правилах брандмауэра и Service Composer. Все это можно резервировать и восстанавливать индивидуально.

№50. Что такое ловушка SNMP?

Ловушки простого протокола управления сетью ( SNMP ) - это предупреждающие сообщения, отправляемые с удаленного устройства с поддержкой SNMP на сборщик. Вы можете настроить агент SNMP для пересылки ловушек SNMP.

По умолчанию механизм ловушек SNMP отключен. Когда ловушка SNMP включена, диспетчеру SNMP отправляются только критические и высокоуровневые уведомления.

Надеюсь, вам понравилось читать этот пост. Удачного интервью!